FinFisher恶意程序升级使用UEFI Bootkit感染Windows系统

新版本的监控软件FinFisher（又名 FinSpy 或 Wingbird）变种程序已升级为使用UEFI（统一可扩展固件接口）引导包感染 Windows 设备，该引导包利用木马化的 Windows 引导管理器，标志着感染媒介的转变，使其能够逃避安全软件的发现和分析。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，FinFisher自 2011 年就在野被发现，是一种适用于 Windows、macOS 和 Linux 的间谍软件工具集，由英德公司 Gamma International 开发，专门提供给执法和情报机构。

FinFisher 能够收集用户凭据、文件列表、敏感文档、记录击键、从 Thunderbird、Outlook、Apple Mail 和 Icedove 中提取电子邮件消息，拦截 Skype 联系人、聊天、通话和传输的文件，并通过获取访问权限捕获音频和视频到机器的麦克风和网络摄像头。

虽然该工具之前是通过被篡改的合法应用程序安装程序（例如 TeamViewer、VLC 和 WinRAR）进行部署的，这些应用程序被一个混淆的下载程序后门，但 2014 年的后续更新通过主引导记录 (MBR) 引导工具包实现感染，目的是注入恶意加载程序以一种旨在绕过安全工具的方式。

要添加的最新功能是能够部署 UEFI 引导套件来加载 FinSpy，新样本展示的特性将 Windows UEFI 引导加载程序替换为恶意变体，并吹嘘四层混淆和其他检测规避方法来减慢逆向工程和分析的速度。

卡巴斯基安全人员称，感染这种方式允许攻击者安装的bootkit无需绕过固件安全检查，UEFI 感染非常罕见，而且通常难以执行，它们因其隐蔽性和持久性而引人注目。

UEFI 是一种固件接口，是对基本输入/输出系统 (BIOS) 的改进，支持安全启动，可确保操作系统的完整性，以确定没有恶意软件干扰启动过程。但是由于 UEFI 促进了操作系统本身的加载，bootkit 感染不仅可以抵抗操作系统重新安装或更换硬盘驱动器，而且对操作系统内运行的安全解决方案也很不起眼。

这使黑客能够控制启动过程，实现持久性并绕过所有安全防御。虽然在这种情况下，攻击者并没有感染 UEFI 固件本身，而是感染了它的下一个启动阶段，但攻击特别隐蔽，因为恶意模块安装在单独的分区上，可以控制受感染机器的启动过程。